Početna Blog Kriptografski ključevi kao osobni podaci ispitanika

Kriptografski ključevi kao osobni podaci ispitanika

Svi članci
21.12.2021.

Većina modernih kriptografskih metoda ne zasniva se na tajnosti kriptografskih algoritama, koji su dobro znani, već na broju koji se naziva ključ, a bez kojeg je vrlo teško odnosno nemoguće dešifrirati poruku.

U primjeni kriptografije, korištenje ključa je odlučujući parametar. Postoje mnoge definicije što je ključ. Ukratko, možemo reći da je ključ parametar koji određuje rezultat kriptografskog algoritma. Ovisno o ovom ključu, sustavi za šifriranje mogu se podijeliti u dvije glavne skupine: simetrične enkripcije, gdje jedan ključ šifrira i dekriptira; i asimetrične enkripcije, gdje su potrebna dva ključa, jedan za enkripciju, koji može biti javan, a drugi za dešifriranje, koji je privatan i u posjedu samo njegovog legitimnog vlasnika. Dva ključa u asimetričnoj enkripciji su povezana, ali je vrlo teško povezati ih bez dodatnih informacija.

Javni ključ fizičke osobe jedinstven je identifikator i njegova je upotreba u online uslugama općenito povezana s drugim vrstama informacija koje omogućuju identifikaciju i profiliranje osobe koja posjeduje takav ključ. Pod ovim uvjetima, javni ključ je osobni podatak koji na jedinstven način identificira osobu te je stoga njegova obrada podložna odredbama GDPR-a, iako se može smatrati metodom pseudonimizacije u mjeri u kojoj se može prikriti pravo ime osobe.

Asimetrične enkripcije su dizajnirane tako da je jedan od ključeva otkriven i slobodno dostupan (javni ključ) što ih čini vrlo prikladnim za korištenje na Internetu. Dakle, korištenje asimetričnih ključeva ne samo da omogućuje enkripciju/dešifriranje informacija, već omogućuje i provjeru autentičnosti osoba, generiranje ili provjeru potpisa, razmjenu simetričnih ključeva itd.

 

Javne ključeve mogu koristiti pojedinci, entiteti, pa čak i strojevi - za identifikaciju, provjeru autentičnosti ili razmjenu informacija. Kada je riječ o javnim ključevima koji odgovaraju fizičkim osobama, postavlja se pitanje mogu li se ti ključevi smatrati osobnim podacima.

S tim u vezi, i francusko nadzorno tijelo CNIL i Europski parlament već su izjavili da su oni osobni podaci u kontekstu specifičnih procesa obrade.

Kako bi se utvrdila priroda osobnih podataka javnog ključa, potrebno je razmotriti samu definiciju osobnih podataka kako je navedeno u članku 4. GDPR-a:

„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

I uvodna izjava (30) GDPR-a detaljno opisuje tumačenje osobnih podataka u odnosu na internetske identifikatore:

Pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

U tom smislu, javni ključ je jedinstven identifikator po svojoj prirodi, budući da je vjerojatnost da dvije osobe mogu dijeliti niz znakova koji čine ključ praktički nula. Da to nije slučaj, sustav sigurnosnih jamstava koja je izgrađena na sustavima enkripcije preko Interneta ne bi funkcionirala.

S druge strane, korištenje javnog ključa u online obradi usko je povezano s drugim vrstama identifikatora, kao što su IP adrese, identifikatori sesije, kolačići, potpisi uređaja, adrese e-pošte i drugi. Sve ove informacije ostavljaju svoj trag u zapisnicima ili datotekama aktivnosti poslužitelja ili posrednika. Štoviše, kombinirana upotreba ovih identifikatora, uključujući sam ključ, omogućuje povezivanje aktivnosti koje se obavljaju s različitih adresa ili uređaja.

Javni ključ i privatni ključ omogućit će profiliranje osobe u mjeri u kojoj se koriste za dokazivanje da su različite online radnje povezane s istom osobom, npr. u slučaju autentifikacije ili Blockchaina. Ova vrsta informacija može biti toliko točna da se u praksi koristi i za uspješnu ponovnu identifikaciju osobe. Zapravo, ponovna identifikacija temeljena na aktivnostima postala je usluga dostupna raznim akterima, kao što su službe za provođenje zakona.

U mnogim slučajevima javni ključ fizički stvara treća strana, a ne fizička osoba s kojom će ključ biti povezan. To je slučaj infrastruktura javnih ključeva (PKI), gdje proces kreiranja i distribucije ključeva uključuje pouzdanu identifikaciju i registraciju fizičke osobe kod pružatelja usluga ili ovlaštenog tijela za registraciju, kao i uključivanje osobnih podataka u digitalnu potvrdu. U nekim je slučajevima ova provjera autentičnosti propisana zakonom čak i ako javni ključ generira dotični pojedinac (npr. u virtualnoj mjenjačnici ili uslugama čuvanja e-novčanika).

Naravno, javni ključ će biti povezan sa sadržajem poruke i svim njezinim mogućim metapodacima kada se koristi za elektroničko potpisivanje poruke kako bi se osigurala njezina cjelovitost.

Konačno, korisnik javnog ključa mora zadržati privatni ključ u svom posjedu kako bi asimetrična enkripcija ispravno radila. Iako se jedan ključ ne može saznati iz drugog, može se pronaći povezanost između dva ključa, budući da se ono što je šifrirano jednim ključem može dešifrirati samo drugim. Stoga je moguće dokazati vezu između korisnika i njegovog javnog ključa u slučaju pristupa njegovim podacima, npr. u slučaju povrede osobnih podataka ili kod sudske tužbe.

Ukratko, u onim procesima obrade u kojima je moguće pridružiti dodatne informacije javnom ključu koji omogućuje identifikaciju osobe, javni ključ će djelovati kao pseudonim s obzirom na osobne podatke jer, kako je definirano u članku 4. stavak 5. GDPR-a, pseudonimizirane informacije su osobni podaci.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.